Microsoft、2月の月例セキュリティ更新プログラム公開 計50件の脆弱性を修正:メールをプレビュー表示しただけで攻撃される?
EdgeやOutlookなどに存在する14件の脆弱性を「緊急」に分類。中でもOutlookのメモリ破損の脆弱性では、メールをプレビュー表示しただけで攻撃コードを実行される恐れがある。
米Microsoftは2月13日(日本時間14日)、月例セキュリティ更新プログラムを公開してInternet Explorer(IE)やEdge、Windowsなどに存在する深刻な脆弱性を多数修正した。
更新の対象となるのはIE、Edge、Windows、Office/Office Services/Web AppsおよびChakraCoreの各製品。また、Adobeが6日付で公開したFlash Playerのアップデートも含まれる。
米セキュリティ機関SANS Internet Storm Centerや、セキュリティ企業Trend Micro傘下のZero Day Initiative(ZDI)によると、今回の更新プログラムでは計50件の脆弱性が修正された。
このうちEdgeやOutlook、スクリプティングエンジン、StructuredQueryに存在する14件の脆弱性については、最大深刻度が4段階で最も高い「緊急」に分類されている。
中でもOutlookのメモリ破損の脆弱性については、直ちにパッチを適用する必要があるとZDIは解説する。この脆弱性では、ユーザーが不正な電子メールを開かなくても、プレビューを表示しただけで攻撃コードを実行される恐れがあるといい、攻撃者が利用しようとするのは確実だとしている。
また、Microsoftは「Spectre」「Meltdown」と呼ばれるCPUの脆弱性に関するガイダンスも2月13日付で更新し、32ビット(x86)バージョンのWindows 10を対象に、追加的保護を提供するための更新プログラムを公開したことを明らかにした。サポート対象の他のWindowsについても32ビットバージョン向けの保護措置を提供予定だが、現時点でいつリリースするかは未定としている。
関連記事
- Microsoft、1月の月例更新プログラムを公開 56件の脆弱性を修正
今回の更新プログラムでは計56件の脆弱性が修正された。このうち16件が最大の深刻度である「緊急」に指定されている。 - プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設
Intelが「他社のプロセッサも影響する」と発表したプロセッサの重大な脆弱性「Meltdown」と「Spectre」についての情報がまとまったWebサイトを、これらの脆弱性を発見したグラーツ工科大学が開設した。 - プロセッサの脆弱性、Microsoftの対策パッチでパフォーマンス大幅低下も
Microsoftによると、2015年代以前のプロセッサを搭載したPCや、Windows Serverでは、対策パッチを適用すると、パフォーマンスに相当な影響が出ることが分かった。 - Windowsパッチで一部AMDマシンに不具合、Microsoftが対応説明
AMDマシンで「Meltdown」「Spectre」と呼ばれる脆弱性に対処するWindows向けのパッチをインストールしたところ、起動できなくなったという報告が相次ぎ、Microsoftがパッチの配信を停止した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.